Le géant pharmaceutique danois Novo Nordisk a révélé avoir subi une intrusion informatique ayant conduit à l’exfiltration non autorisée de données internes, dont des données à caractère personnel. Le groupe a engagé des experts externes en cybersécurité et coopère avec les autorités compétentes, tout en assurant que ses opérations principales demeurent intactes.
Novo Nordisk confirme une intrusion dans ses systèmes informatiques internes
Novo Nordisk, le laboratoire pharmaceutique danois leader mondial dans le traitement du diabète et de l’obésité, a annoncé avoir détecté un accès non autorisé à un nombre limité de ses systèmes informatiques internes, marquant une nouvelle illustration de la vulnérabilité du secteur pharmaceutique face aux cybermenaces. Le groupe a immédiatement engagé une enquête en mobilisant des spécialistes externes en cybersécurité, et s’est rapproché des autorités compétentes pour coordonner sa réponse à l’incident.
Face à l’ampleur potentielle de la brèche, Novo Nordisk a pris la décision de mettre temporairement hors ligne plusieurs de ses systèmes informatiques internes, une mesure préventive destinée à contenir la propagation de l’intrusion et à sécuriser l’ensemble de son environnement numérique. Le groupe précise que la remise en service progressive et sécurisée des systèmes affectés est en cours, tout en soulignant que ce type de processus de restauration contrôlée requiert un temps significatif avant un retour à la normale complet.
Cet incident intervient dans un contexte de recrudescence globale des attaques ciblant les grands groupes industriels et pharmaceutiques, un secteur particulièrement exposé en raison de la valeur stratégique de ses données de recherche, de ses brevets et de ses informations commerciales sensibles. La nature même de l’activité de Novo Nordisk — dont les produits phares, l’Ozempic et le Wegovy, concentrent une attention considérable des marchés financiers et des acteurs concurrentiels mondiaux — en fait une cible de premier plan pour des acteurs malveillants aux motivations potentiellement multiples, qu’elles soient économiques, industrielles ou étatiques.
Des données personnelles exfiltrées, les opérations du groupe maintenues
Au-delà de la compromission technique de ses infrastructures, Novo Nordisk a confirmé que des données non publiques ont effectivement été copiées et transférées vers l’extérieur de son périmètre informatique sans autorisation. Parmi ces données figurent des informations à caractère personnel, sans que le groupe n’ait précisé à ce stade le volume exact ni la nature précise des personnes ou entités concernées. Le laboratoire danois a cependant indiqué qu’il procéderait aux notifications nécessaires auprès des parties affectées, conformément aux obligations légales en vigueur, notamment celles imposées par le Règlement général sur la protection des données en Europe.
Sur le plan opérationnel, Novo Nordisk tient à rassurer ses partenaires, investisseurs et clients en affirmant que ses activités principales restent pleinement fonctionnelles et n’ont pas été interrompues par cet incident. Cette communication maîtrisée vise à limiter l’impact sur la confiance des marchés, alors que l’entreprise affiche une capitalisation boursière parmi les plus élevées d’Europe et représente à elle seule une part substantielle du produit intérieur brut du Danemark.
La capacité du groupe à maintenir sa chaîne de production et de distribution — notamment pour ses médicaments contre l’obésité et le diabète de type 2, dont la demande mondiale est en forte croissance — constitue un enjeu aussi bien industriel que sanitaire à l’échelle internationale. Toute perturbation prolongée de ses opérations aurait des répercussions directes sur l’approvisionnement de millions de patients à travers le monde.
Cyberattaque Novo Nordisk : un signal d’alarme pour la souveraineté sanitaire européenne
Au-delà du cas particulier de Novo Nordisk, cet incident met en lumière une vulnérabilité structurelle du secteur pharmaceutique européen face aux cybermenaces croissantes. Depuis la pandémie de Covid-19, les laboratoires et groupes de biotechnologie figurent parmi les cibles prioritaires des groupes cybercriminels organisés et, selon plusieurs agences de renseignement occidentales, de certains acteurs étatiques cherchant à s’approprier des données de recherche à haute valeur stratégique.
Pour les décideurs européens, la question de la protection des infrastructures critiques du secteur de la santé dépasse désormais le cadre purement technique de la cybersécurité. Elle s’inscrit dans une réflexion plus large sur la souveraineté industrielle et sanitaire du continent, à l’heure où l’Union européenne s’efforce de renforcer son autonomie en matière de production pharmaceutique et de sécurisation des données sensibles liées à la santé publique.
La directive NIS2, entrée en vigueur au niveau européen et dont la transposition dans les législations nationales des États membres est en cours, impose désormais des obligations renforcées en matière de gestion des risques cyber aux opérateurs d’importance vitale, dont les grands laboratoires pharmaceutiques font partie. Le cas Novo Nordisk illustre concrètement les défis qui restent à surmonter pour atteindre un niveau de résilience numérique satisfaisant dans ce secteur.
Pour les entreprises françaises et européennes opérant dans des secteurs à forte valeur intellectuelle — qu’il s’agisse de la pharmacie, de l’énergie, de la défense ou des technologies de rupture — cet épisode constitue un rappel que la protection des actifs numériques et des données sensibles est désormais une composante à part entière de la stratégie de compétitivité et de souveraineté économique. La capacité à détecter rapidement une intrusion, à contenir ses effets et à maintenir la continuité d’activité est aujourd’hui un critère de résilience aussi fondamental que la solidité financière ou la robustesse des chaînes d’approvisionnement.
